Συνεχης ενημερωση

    Τετάρτη, 16-Οκτ-2019 00:48

    Προστασία Δεδομένων by Design & by Default: Ένα Αληθινό Στοίχημα

    • Εκτύπωση
    • Αποθήκευση
    • Αποστολή με email
    • Προσθήκη στη λίστα ανάγνωσης
    • Μεγαλύτερο μέγεθος κειμένου
    • Μικρότερο μέγεθος κειμένου

    Από την Κλειώ Κόνδη

    Με δύο πρόσφατες αποφάσεις, που δημοσιεύθηκαν την προηγούμενη εβδομάδα, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) επέβαλε διοικητικά πρόστιμα, συνολικού ύψους 400.000 ευρώ, σε εταιρεία παροχής υπηρεσιών για:

    α) την παραβίαση της αρχής της ακρίβειας και της προστασίας των δεδομένων, ήδη από το σχεδιασμό κατά την τήρηση προσωπικών δεδομένων συνδρομητών και

    β) τη μη ικανοποίηση του δικαιώματος εναντίωσης του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων (Κανονισμός) και την παραβίαση της αρχής της προστασίας των δεδομένων, ήδη από το σχεδιασμό κατά την τήρηση προσωπικών δεδομένων των συνδρομητών.

    Πρόκειται για δύο αξιοσημείωτα πρόστιμα στη μετά την έναρξη εφαρμογής του Κανονισμού εποχή.

    Σε τι αφορούσαν οι παραβιάσεις 

    Οι παραβιάσεις συνοπτικά αφορούσαν, στην πρώτη περίπτωση, στη μη ορθή επικαιροποίηση του μητρώου αντιρρήσεων σχετικά με τη λήψη τηλεφωνικών κλήσεων για σκοπούς προώθησης προϊόντων και υπηρεσιών, κατόπιν αλλαγών που καταχωρούνταν στο σύστημα, όπου τηρούνταν τα στοιχεία των πελατών. Λόγω αναντιστοιχιών μεταξύ των δύο αρχείων, που προέκυπταν από τεχνικούς λόγους, ορισμένοι συνδρομητές, παρόλο που είχαν δηλώσει την αντίρρησή τους για τη λήψη τηλεφωνικών κλήσεων προώθησης προϊόντων και υπηρεσιών, λάμβαναν κλήσεις με αντίστοιχο περιεχόμενο.

    Στη δεύτερη περίπτωση, εντοπίστηκε η αδυναμία διαγραφής των αποδεκτών μηνυμάτων διαφημιστικού περιεχομένου, που άσκησαν το δικαίωμα εναντίωσης, όπως προβλέπεται  στον Κανονισμό, μέσω του σχετικού συνδέσμου, "unsubscribe”. Η εν λόγω παραβίαση αφορούσε τόσο στη μη ουσιαστική ικανοποίηση του δικαιώματος, όσο και στην έλλειψη κατάλληλου τεχνικού και οργανωτικού μέτρου, με το οποίο θα εντοπιζόταν η σχετική αδυναμία.

    Πώς υπολογίστηκαν τα πρόστιμα

    Ενδιαφέρον παρουσιάζει ότι, και στις δύο αποφάσεις, κατά τον υπολογισμό των προστίμων ελήφθησαν υπόψη -κατά περίπτωση- περιστάσεις, όπως η χρονική διάρκεια του συμβάντος, ο σημαντικός αριθμός των επηρεαζόμενων προσώπων, η επιχειρηματική δραστηριότητα του υπεύθυνου επεξεργασίας, η ευθύνη του παρόχου σε προγενέστερο περιστατικό παραβίασης προσωπικών δεδομένων, καθώς και η παλαιότερη επιβολή της κύρωσης προειδοποίησης αναφορικά με τη δήλωση ένταξης συνδρομητών στο μητρώο. Ελαφρυντικά στοιχεία, όπως η απουσία δόλου, η λήψη επανορθωτικών μέτρων και η διάθεση συνεργασίας του παρόχου με την Αρχή συνεκτιμήθηκαν με τη σειρά τους κατά το σχετικό υπολογισμό.

    Αυξημένη ανάγκη εσωτερικών ελέγχων

    Μια συνολική αποτίμηση των δύο αυτών αποφάσεων αναδεικνύει τη θεμελιώδους σημασίας αρχή της προστασίας των δεδομένων από τον σχεδιασμό και εξ ορισμού (data protection by design & by default). Δεν πρόκειται για μια θεωρητική επιταγή του Κανονισμού, αλλά για μια πρακτική αναγκαιότητα. Στον απόηχο των αποφάσεων επισημαίνεται η αυξημένη ανάγκη εσωτερικών ελέγχων για τον εντοπισμό αντίστοιχων κενών ασφαλείας, ώστε να διασφαλίζονται ανά πάσα στιγμή, τόσο κατά τον καθορισμό των μέσων επεξεργασίας, όσο και κατά την επεξεργασία, κατάλληλα τεχνικά και οργανωτικά μέτρα, που εγγυώνται τη συμμόρφωση με το υφιστάμενο πλαίσιο. Η ύπαρξη τόσο των εσωτερικών ελέγχων, καθώς και η λήψη περαιτέρω τεχνικών και οργανωτικών μέτρων, είναι το στοίχημα της επόμενης ημέρας για τη συνεχή συμμόρφωση με τον Κανονισμό. Σε περίπτωση, που οι υπόχρεοι δεν καταφέρουν να το κερδίσουν, είναι εξαιρετικά πιθανό να βρεθούν αντιμέτωποι με τις ανάλογες κυρώσεις.

    * Η Κλειώ Κόνδη είναι Associate στην Andersen Legal

    ΣΑΣ ΑΡΕΣΕ ΤΟ ΑΡΘΡΟ;

    ΣΧΕΤΙΚΑ ΑΡΘΡΑ

    Δειτε τα πρωτοσελιδα ολων των εφημεριδων